區塊鏈索引服務依賴于合約事件來幫助歸檔數據,并在一個漂亮的用戶界面中給我們提供交易記錄,其通常被稱為“區塊瀏覽器”,比如Etherscan。但惡意合約可以表現得無比“正常”,卻會污染這些事件,從而欺騙區塊瀏覽器,向毫無戒備的用戶提供關于代幣來源的誤導性信息。
例如,惡意用戶可以部署一個簡單ERC20合約和“空投”代幣給一群用戶,在自動做市商上創建一個看起來健康的流動資金池,等待用戶根據錯誤的宣傳購買或出售代幣,認為此代幣是已知開發人員/實體的一部分。
ERC20代幣(它是代幣接口的通用標準)是合約的屬性、函數、輸入、輸出和事件的集合。只要我們的合約具有正確的函數特征,我們就可以在這些函數中使用自定義邏輯——即使是提供不正確數據的函數。
例如,如果合約部署者發送一個代幣,我們可以讓一些/所有區塊瀏覽器向最終用戶(在某些視圖中)顯示不同的地址。假設如下;
合約部署者是有惡意的,想要為他們的代幣制造一些炒作。
代幣在AMM中有一些流動性(如Uniswap)供用戶購買/出售,主要的流動性提供者頭寸屬于代幣背后的團隊。
廣州反詐高能預警:小心以“比特幣”等為名的虛擬貨幣騙局:廣州市局新聞辦公室今天(10月28日)通報,9月份以來,全市接報涉投資理財電信詐騙警情有所上升,占全市各類電信詐騙警情總量的9.7%,投資電詐警情逐步成為電信網絡詐騙警情主要類型之一。從手法看,投資虛擬貨幣的電詐警情占10.2%。從被騙金額看,近期利用“比特幣”等虛擬貨幣為名的投資電詐警情涉案金額普遍較高,給群眾造成巨額損失。9月份以來,該類詐騙警情涉案金額超過百萬元的共5起。(廣州)[2020/10/28]
許多用戶都知道發送者,而不是某個隨機的地址。
這不僅僅是ERC20的問題……受污染的數據可以被插入到任何代幣標準事件中,如NFT (ERC721, ERC1155),以迷惑用戶和潛在投資者,讓他們認為項目有特定的利益方/影響者,而實際上并沒有。
這個問題并不“新鮮”,但我們寫這篇文章是為了強調正在發生的事情,以及用戶在“模仿”“看起來合法”的項目之前應該做些什么。
當區塊瀏覽器看到交易發出的事件時,他們將其記錄在他們的鏈下數據庫中,并與其他數據建立關系,這樣他們就可以建立一個很好的交易關系圖,在他們的UI中顯示給終端用戶。
動態 | 日本國民生活中心對傳銷發出警告 小心以年輕人為中心的加密貨幣等投資的邀請:據Coinpost消息,日本國民生活中心今日發表名為《即使是朋友也該拒絕,小心向年輕人廣泛傳播的傳銷》的警告,其中也列舉出應該注意的加密貨幣投資案例。[2019/7/29]
我們將部署一個概念驗證合約,使用一個老版本的 Solidity,同時也要證明它與任何Solidity版本或以太坊中的任何東西都沒有問題,其是一個來自鏈下應用程序信任合約的信任問題。一般來說,對事件的繼承信任是“正確”的,它是一種合約將可用數據提供給鏈下程序進行索引的方式。
在上面的合約(位于0x3afe99bd92b1aed3237196b26743681766d4940e)中,我們修改了邏輯,將 Transfer 事件中的發送者地址更改為流行區塊瀏覽器上標記為“OpenSea:Wallet”的地址,前提是我們(創建合約的人)發送代幣。
聲音 | 李啟威:要小心那些算力容易被租賃的數字貨幣:萊特幣創始人李啟威今日發推表示:要小心那些在各自的算力中不占主導地位的數字貨幣,特別是那些很容易租賃算力(NiceHash-able)挖掘的。ETC有98%的算力可以通過租賃獲得,1小時的攻擊花費只有5000美元,收入很容易就翻倍。[2019/1/8]
它所做的是,當區塊瀏覽器索引該事件時,它從Transfer事件中看到地址為0x5b32…1073發送了代幣,而不是實際的發起者0x11b6…04C9,這可能導致該方法被不良行為者利用,誘使用戶認為;
一個受歡迎的人物在代幣上有既得利益
一個受歡迎的人物正在“卸載”大量的代幣
代幣是合法的,因為在區塊瀏覽器上,它顯示了已知的實體與代幣合約“交互”
讓我們從合約部署者地址調用transfer(),看看區塊瀏覽器索引了什么。我們只是將代幣從我的地址(0x11b6…04C9)移動到一個目標地址(0x4bbe…1520)。
精選 | 人民日報提醒小心比特幣勒索等網絡“勒索”黑手:人民日報發表文章稱,提醒人們小心比特幣勒索等網絡勒索黑手。文章中表示,過去的敲詐勒索紛紛改頭換面搬到了網上,并且呈現出較過去手法更隱蔽、涉及面更廣、危害更大等特點,網絡勒索也逐漸發展成一條新興的地下黑色“掘金”產業鏈。業內專家表示,政府、企業和個人都必須將網絡安全置于突出位置,做好日常維護,才能避開網絡勒索的“黑手”。[2018/7/30]
“OpenSea: Wallet”ERC20活動視圖顯示它似乎已經發送了一個名為OpenSeaRevenueShare的代幣到目的地。
交易表明(在“token Transferred”中)“OpenSea: Wallet”將代幣發送到目標地址。
高西慶:對于區塊鏈應該小心對待:日前,清華大學教授高西慶做客中國金融博物館書院佛山分院讀書會,他表示對于區塊鏈應該小心對待。要做到擁抱區塊鏈、定義區塊鏈、規范區塊鏈,才能保證行業的健康發展。此外,區塊鏈除了數字貨幣之外,正逐漸應用到技術創新、知識產權、公益事業等領域中,未來將對人們的生活產生很大改變,這是令人興奮的地方。[2018/3/27]
目標地址顯示“OpenSea: Wallet”給他們轉移了10個代幣。
大多數這樣的以利用用戶的惡意合約都沒有被“驗證”,又因為我們只能接觸到區塊瀏覽器上的字節碼,如果事件被污染了不良數據,再基于某些條件,都很難讓用戶進行驗證,就像我們的概念驗證一樣。如果合約沒有被驗證,比如我們無法看到Solidity/Vyper/...代碼,并且只暴露于字節碼,那么在與合約交互之前,我們應該采取預防措施。
如果一個代幣被“空投”給我們或其他實體,我們應該謹慎,特別是當我們試圖在DEX上清算代幣時,因為過去有一些事件是利用人為制造價格的方法從竊取的。
一種快速的方法是檢查事件參數是否與交易發起者匹配,這并非萬無一失,因為空投者有多發送方合約。例如,如果交易“From”字段與事件不匹配,請謹慎處理。
用不良數據污染事件的方法正在主網上進行。一個已知的問題。例如,如果我們在 Google BigQuery 上運行以下查詢,我們就可以了解合約發生了什么,它們在發出事件來欺騙索引者,讓他們認為Vitalik Buterin正在使用他們的代幣。
ElonPlaid (0 x907f3040e13bd57f3b00f89bb8ee19424a95b065)
在構造函數上發出一個被 Vitalik Buterins 地址污染的 Transfer() 事件,用于整個代幣供應。
使用代幣開始交易時,發出一個被Vitalik Buterin地址污染的Transfer()事件。
合約創造者向DEX (4ETH價值)提供流動性
三天后,移除6ETH的流動性,有2ETH的利潤
KenshaInu (0 x3a7eaa257181719965f8ebe64bb7c13ffbbca36b)
合約創造者向DEX (5ETH價值)提供流動性
三天后,撤掉6.9ETH的流動性,1.9ETH的利潤
IronDoge (0 xf6072df56114e1a1c76fe04fb310d468c9ba8c38)
合約創造者向DEX (4ETH價值)提供流動性
一天后,移除5.8ETH的流動性,使項目獲得 1.8ETH 的利潤
這只是許多例子中的三個。不法分子正利用污染事件來欺騙用戶,他們的目標不僅是Vitalik Buterin的已知地址。
盡管區塊瀏覽器在可視化區塊鏈數據方面非常有用,但它們的邏輯可能被濫用來顯示誤導性/不正確的數據。區塊鏈的古老格言“不要信任,要驗證”似乎是合適的,特別是當我們都相信區塊瀏覽器可以提供絕對準確的數據,而不考慮它們如何解釋數據時。
這是一個已知且潛在的難以解決的問題,我希望這篇文章能夠幫助人們在“模仿”一個項目之前少一些FOMO,多一些小心,因為它看起來像是有人投資了,而實際上他們并沒有。
Tags:ETH區塊鏈ENSFERtogetherbnb游戲攻略vp幣區塊鏈價格ZenSportsMake A Difference Token
本文僅做行業學習交流之用,不構成任何投資參考 讓NFT-Fi流行起來 NFT的金融化是一個艱難的旅程,我們也很難搞懂它涉及的方方面面.
1900/1/1 0:00:00什么是 GameFi 由于區塊鏈技術的興起,金融方面從未像現在這樣與游戲行業交織在一起。區塊鏈游戲也被稱為去中心化游戲,即 GameFi——Game(游戲)+DeFI(去中心化金融).
1900/1/1 0:00:00元宇宙浪潮呼嘯而來,行業急切呼喚軟件生態的完善。隨著Meta旗下VR產品Oculus?Quest 2在2021年沖破千萬臺銷量門檻,在基礎設施有了一定程度的積累之后,能夠真正推動新技術落地并持續.
1900/1/1 0:00:00在大多人心里,現在的web 3.0相比較之前的僅一個概念,已經演變為要即將到來。但事實上,它不僅僅是即將到來,甚至已經在這里了,而且增長得非常快.
1900/1/1 0:00:00時至今日,加密資產正日益成為后現代投資組合的關鍵組成部分。現代投資組合理論(MPT)也已成為構建多元化資產投資組合的主流框架,可以預期將優化整體風險和回報.
1900/1/1 0:00:00全國兩會時間已正式開啟。這是黨的二十大召開之年的兩會, 意義非凡, 也與我們每個人的生活息息相關.
1900/1/1 0:00:00